Versicherung muss Garmin Ransomware-Lösegeld erstatten

2. Oktober 2023 um 14:11
image
Foto: JJ Shev / Unsplash

Nach einem Urteil des Bundesgerichts muss der Versicherer für die bezahlte Summe aufkommen. Garmin wurde 2020 attackiert, es geht um Millionen Franken.

Im Juli 2020 sorgte ein Cyberangriff auf das schweizerisch-amerikanische Unternehmen Garmin für Aufsehen. Besitzer konnten ihre Fitness-Smartwatches von Garmin nicht mehr synchronisieren. Telefon- und Mailsystem des Unternehmens fielen aus. Auch die Luftfahrt war durch den Ausfall der Software Flygarmin betroffen.
Vermutet wurden hinter dem Angriff die Hacker-Gruppe Evilcorp und der Einsatz der Ransomware "Wastedlocker". Schon bald hiess es, dass Garmin seinen Erpressern via ein Drittunternehmen mehrere Millionen Dollar bezahlt habe, um den Schlüssel für die Entschlüsselung seiner Systeme zu erhalten. Die Zahlung sei über das Security-Unternehmen Arete Incident Response erfolgt.

Lösegeld von 13,5 Millionen Franken

Ein Urteil des Schweizer Bundesgerichts bestätigt jetzt die Lösegeldzahlung. "Die Klägerin (Garmin) sah sich gezwungen, den Betrieb ihrer Callcenter, Webseiten und einiger Online-Dienste einzustellen. Ein Dechiffriercode (um die verschlüsselten Dateien wieder verwenden zu können) wurde von den Angreifern erst nach Zahlung eines Lösegelds in Höhe von 1500 Bitcoins in Aussicht gestellt", heisst es im Urteil. Dies entsprach damals ungefähr 13,5 Millionen Franken.
Garmin beauftragte laut Bundesgericht "eine auf Risikomanagement spezialisierte Firma" mit den Verhandlungen und wandte sich an seine Versicherer, um eine Rückerstattung der Lösegeld-Summe zu erhalten. Die Garmin-Systeme waren 5 Tage blockiert, was dem Unternehmen einen geschätzten Schaden von 15 Millionen US-Dollar verursachte.

Versicherung berief sich auf US-Sanktionen

Eine der Versicherungen – eine britische Gesellschaft – weigerte sich zu zahlen. "Die Klägerin ist gegen Cyberangriffe versichert, wobei die Beklagte Mitversicherin der Police ist. Gemäss der Police ist jede Versicherung gemeinsam mit den anderen, aber nicht solidarisch für ihren gezeichneten Anteil leistungspflichtig. Die Beklagte verweigerte als Einzige die Zahlung", so das Urteil.
Die Versicherung berief sich auf einen Vorbehalt im Versicherungsvertrag, der Leistungen ausschliesst, wenn dadurch Sanktionen durch die US-Behörden drohen. Sie ging ebenfalls davon aus, dass der Angriff von Evilcorp durchgeführt wurde.
Es handelt sich dabei um eine Gruppe russischer Hacker, die auf einer Sperrliste des US-Finanzministeriums standen. Die Versicherung stützte ihre Annahme auf die Ransomware Wastedlocker, die der von dieser Gruppe verwendeten Malware ähnlich ist und auf die an den Tag gelegte Vorgehensweise.

Keine "konkreten Ausführungen" zum Cyberangriff

Diese Begründung wurde vom Zürcher Handelsgericht zurückgewiesen. Es erachtete die vom Versicherer herangezogenen Indizien nicht als unwiderlegbare Rückschlüsse auf die Beteiligung von Evilcorp.
Die Beschwerdeführerin behaupte zwar einige Übereinstimmungen zwischen den Ransomwares sowie der Modi Operandi. Es bleibe aber bei unsubstantiierten Behauptungen, schreibt das Bundesgericht. Insbesondere fehle es an konkreten Ausführungen zum Cyberangriff. Das Gericht urteilt, dass der Vergleich der Programmcodes "nämlich auf der Prämisse basiere, dass die Ransomwares – auch nachdem sie bereits im Umlauf seien – exklusiv von derjenigen Gruppe eingesetzt und weiterentwickelt würden, die sie auch ursprünglich programmiert haben". Zudem sei nicht nachgewiesen, dass eine Versicherungsleistung an Garmin zu einer Sanktion durch die Amerikaner führen würde.
Das Bundesgericht stützt sich in seinem Entscheid auf die Argumentation des Handelsgerichts. Es hat die Rügen des Versicherers abgewiesen.
(Mit Material von Keystone-sda)

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!

Jetzt spenden



Loading

Mehr erfahren

Mehr zum Thema

image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.

image

Quellcode von New York Times gestohlen

Im Januar wurden der Zeitung interne Daten aus Github-Repositories gestohlen. Darunter befand sich auch der Quellcode, der jetzt geleakt wurde.

publiziert am 10.6.2024
image

Sichere dir jetzt dein Cyber Security-Know-how!

Starte jetzt deine zukunftssichere Karriere mit einer Weiterbildung in Cyber Security bei IFA, der Höheren Fachschule aus dem Bereich «Informatik und Security».

image

Neuer Steuerungsausschuss Cyberstrategie steht

Das Gremium soll die Nationale Cyberstrategie prüfen und weiterentwickeln. Maya Bundt übernimmt das Präsidium.

publiziert am 7.6.2024 1